Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-052

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 24 décembre 2009
No CERTA-2009-ACT-052

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-52


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052/

1 Attaques ciblant phpMyVisites

L'application phpMyVisites a fait l'objet d'une très importante mise à jour de sécurité le 16 décembre 2009 (avis CERTA-2009-AVI-560). Ce correctif fait suite à l'exploitation d'une vulnérabilité d'un module tiers, appelé Clickheat, fourni avec phpMyVisites. La nouvelle version du logiciel n'intègre plus cette extension vulnérable.

De plus, les développeurs de phpMyVisites ont publié une page dédiée à des attaques constatées début décembre 2009. En particulier, un serveur compromis pourrait contenir les fichiers suivants :

  • phpmv2/datas/thumbs.php ;
  • styles.css.php ;
  • fotter.php ;
  • s.php ;
  • un fichier PHP ayant pour nom une série de chiffres, par exemple 8475875.php.

La compromission est susceptible de s'étendre à tout le serveur, pas uniquement au répertoire de phpMyVisites. Un des correspondants du CERTA a déjà signalé une telle compromission, survenue le 5 décembre 2009. L'intrus n'a pas défiguré le site Web, donc l'attaque ne laisse pas de traces évidentes (en dehors des journaux). Par contre, l'attaquant a déposé de nombreuses portes dérobées et a peut-être exploité des vulnérabilités du noyau pour élever ses privilèges et devenir administrateur du serveur.

Le CERTA recommande à tous les administrateurs de sites fonctionnant avec phpMyVisites de rechercher dans les journaux d'accès les appels au module Clickheat (par exemple à l'aide de la commande grep -i clickheat access.log). De tels accès, notamment à l'aide de requêtes POST, sont caractéristiques d'une compromission. Tout administrateur constatant une telle activité dans ses journaux est invité à contacter le CERTA.

2 Attaquer le serveur DNS plutôt que le site Web cible

Twitter, le célèbre site de microblogging (http://www.twitter.com) a subi une attaque le 18 décembre 2009. Dans la matinée de cette journée, la majorité des internautes qui tentaient de se connecter sur le site Web de Twitter arrivaient sur un site affichant une page de revendication anti-américaine, signée par « l'Iranian Cyberarmy ».

À la lumière des éléments publics de l'attaque, le site Web de Twitter n'a vraisemblablement subi aucune agression. Les pirates ont en fait visé le système DNS de Twitter. La société Twitter utilise une offre externalisée de DNS, qui a pour rôle de résoudre les requêtes. Ainsi, lorsqu'un internaute souhaite se connecter à Twitter, son navigateur Web va émettre une demande de résolution DNS, afin de transformer le nom www.twitter.com en adresse IP, par exemple 168.143.162.36. Les attaquants ont réussi, en se connectant à l'interface d'administration du DNS, à modifier cette résolution, pour la faire pointer vers le site de leur choix. La suite est connue...

Cet incident peut amener quelques réflexions.

Tout d'abord, commençons par la revendication du piratage. Même si la page visible des internautes contenait des propos anti-américains, reprochant notamment l'ingérence des États-Unis envers l'Iran, aucun élément ne permet à l'heure actuelle d'identifier avec certitude les auteurs de l'attaque. Les conclusions rapides sont donc à éviter dans ce genre d'affaire, d'autant plus que le fameux groupe « Iranian Cyberarmy » ne bénéficie d'aucun historique dans les sources d'informations ouvertes...

D'autre part, cet incident n'est en soit pas nouveau, d'autres sites ont subi les mêmes types d'attaques dans le passé. L'élément intéressant ici est de bien identifier la chaine globale de confiance. Assurer la sécurité et la disponibilité d'un site Web est une tâche souvent bien plus complexe qu'il n'apparait à première vue, car de nombreux éléments doivent être pris en compte... Depuis les routeurs d'accès, les équipements de partage de charge, le réseau d'administration, les serveurs de middleware et bases de données, sans oublier les serveurs DNS et le maintien des noms de domaine, tous les maillons de la chaine ont leurs importances, et il suffit parfois d'un simple grain de sable mal placé pour que tout s'effondre.

3 Cadeaux de fin d'année malveillants

La période des fêtes de fin d'année est toujours propice à la propagation de codes malveillants. Il est en effet dans la tradition de s'échanger de nombreux cadeaux et autres cartes de vœux. Ces dernières, développement durable oblige, ont maintenant pris un format électronique et permettent à certains individus malintentionnés de profiter de la situation.

Il existe, en effet, de nombreux sites permettant la création et l'envoi de cartes de vœux virtuelles. Certains sites peuvent avoir de nombreuses façons de détourner la gentille attention en cadeau empoisonné, outre la collecte d'informations personnelles comme l'adresse électronique. Il est également envisageable d'intégrer dans la carte de vœux des JavaScript et autres codes dynamiques (comme Flash par exemple) afin d'exploiter des vulnérabilités dans les interpréteurs et ainsi compromettre la machine du destinataire.

En cette fin d'année, nombreuses sont les personnes qui commandent leurs cadeaux via l'Internet ou qui font livrer les cadeaux chez leurs proches. Il est ainsi aisé de profiter de cette situation afin d'émettre de faux avis de passage ou de réception de colis et ainsi pousser les utilisateurs à ouvrir des pièces jointes malveillantes.

Le CERTA rappelle qu'il existe une vulnérabilité non corrigée dans les produits Adobe Acrobat et Adobe Reader permettant d'exécuter du code arbitraire à distance et que celle-ci est susceptible d'être exploitée, sous la forme d'une carte de vœux par exemple. Il est fortement recommandé d'appliquer les contournements provisoires détaillés dans l'alerte CERTA-2009-ALE-023 afin de limiter les risques de compromission.

Documentation

4 Vulnérabilités des produits Citrix

La semaine dernière, l'éditeur Citrix a publié deux bulletins de sécurité :
  • CTX123649, relatif aux produits NetScaler et Access Gateway Enterprise Edition, fait référence à la vulnérabilité détaillée dans CVE-2009-4609. Cette vulnérabilité a fait l'objet d'une alerte CERTA-2009-ALE-017 puis de plusieurs avis pour les éditeurs ayant corrigé leurs produits : CERTA-2009-AVI-372, CERTA-2009-AVI-376, CERTA-2009-AVI-377 et CERTA-2009-AVI-422. Le CERTA n'a pas publié d'avis de sécurité relatif à ce bulletin Citrix car il ne constitue qu'un contournement provisoire détaillant les éléments de configuration à prendre en compte pour rendre une attaque inopérente.
  • CTX123610, relatif aux produits Clientless SSL VPN, détaille une vulnérabilité dans l'implémentation de la couche SSL de ces produits. Dans ce cas également, le CERTA n'a pas produit d'avis car la vulnérabilité dont il est question n'est pas corrigée dans ces produits Citrix mais fait simplement l'objet de contournements provisoire.

En tout état de cause, ces recommandations sont évidemment à appliquer si vous disposez de ces équipements ou si vous mettez en œuvre ce type de technologies.

Documentation :

http://support.citrix.com/article/CTX123649
http://support.citrix.com/article/CTX123610


5 Rappel des avis émis

Dans la période du 18 au 24 décembre 2009 , le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-548 : Vulnérabilité dans VMware vCenter Lab Manager
  • CERTA-2009-AVI-549 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-550 : Multiples vulnérabilités dans Cisco WebEx WRF Player
  • CERTA-2009-AVI-551 : Multiples vulnérabilités dans IBM WebSphere
  • CERTA-2009-AVI-552 : Vulnérabilité dans des produits Horde
  • CERTA-2009-AVI-553 : Multiples vulnérabilités de PHP
  • CERTA-2009-AVI-554 : Multiples vulnérabilités dans Wireshark
  • CERTA-2009-AVI-555 : Vulnérabilités dans Adobe Flash Media Server
  • CERTA-2009-AVI-556 : Multiples vulnérabilités dans IBM AIX
  • CERTA-2009-AVI-557 : Vulnérabilités dans OSSIM
  • CERTA-2009-AVI-558 : Vulnérabilité dans IBM WebSphere Application Server Feature Pack for CEA
  • CERTA-2009-AVI-559 : Vulnérabilités dans Winamp
  • CERTA-2009-AVI-560 : Vulnérabilité dans phpMyVisites

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-149-001 : Vulnérabilité dans mod_perl pour Apache (ajout des bulletins de sécurité Sun Solaris et Mandriva )
  • CERTA-2009-AVI-508-001 : Multiples vulnérabilités dans GIMP (ajout du bulletin de sécurité Sun Solaris)


Liste des tableaux

Gestion détaillée du document

24 décembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-22